Mozilla - CVE-2026-7322
Date de publication :
Il s'agit d'une vulnérabilité de corruption mémoire affectant le moteur de rendu de Mozilla Firefox et Mozilla Firefox ESR.
Mozilla Firefox est un navigateur web open source développé par la Mozilla Corporation. Il est disponible sur Windows, macOS, Linux, Android et iOS. Il existe en deux variantes principales : la version standard à cycle de publication rapide et la version ESR (Extended Support Release), destinée aux environnements d'entreprise et aux déploiements à long terme nécessitant une stabilité accrue.
Plusieurs bugs de sécurité mémoire ont été identifiés simultanément dans le code du navigateur, dont certains présentent des preuves de corruption effective du tas lors de l'exécution. Ces défauts relèvent à la fois de restrictions insuffisantes sur les opérations en mémoire tampon et de conditions d'utilisation de mémoire après libération (use-after-free). L'exploitation repose sur la capacité d'un attaquant à faire traiter par le navigateur une page HTML spécialement conçue, sans nécessiter de privilèges particuliers. L'exploitation n'est pas triviale et requiert un effort significatif pour aboutir à une exécution fiable.
Elle permet à un attaquant distant de provoquer une exécution de code arbitraire dans le contexte du processus de rendu du navigateur.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Exécution de code arbitraire (à distance)
Exploitation
CWE-119 : Improper Restriction of Operations within the Bounds of a Memory Buffer
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
• Mozilla Firefox versions antérieures à 150.0.1
• Mozilla Firefox ESR 140.x versions antérieures à 140.10.1
• Mozilla Firefox ESR 115.x versions antérieures à 115.35.1 (branche en fin de vie étendue)
• Mozilla Thunderbird versions antérieures à 150.0.1
• Mozilla Thunderbird ESR 140.x versions antérieures à 140.10.1
Solutions ou recommandations
• Mozilla Firefox ESR version 140.10.1 et supérieures
• Mozilla Firefox ESR version 115.35.1 et supérieures
• Mozilla Thunderbird version 150.0.1 et supérieures
• Mozilla Thunderbird ESR version 140.10.1 et supérieures